na moojoj webstranici, u folder gdje uploadujem fotografije, nasao sam 3 fajla koja definitivno nisu moja.
c99.php.php
gny.php back.pl
ceprkajuci po google-u za ovaj prvi, nasao sam neke informacije… moj server definitvino im aiskljucen reister_globals, ali zato im auljucen allow_url_fopen.
ok, fajlove sam izbrisao, pretrazujem ostale foldere da nema neki od fajlova koji nisu moji…
medjutim, pretpostavljam, da brisanjem ovih fajlova nisam puno uradio? kako da skontam sta su mi do sada uradili, sta mi rade na serveru i sl.? na sta treba da obratim paznju.
ja imam VPS gdje server administraciju (updates, upgrades, security…) radi vlasnik servera. u sustini, on radi dobro - sve stomu se kaze. ali ako mu ne kazem nista nece nista ni uraditi. ma znate kako to ide…
heheheh
taj prvi c99 ti je php shell, treci back.pl ti je connect back backdoor…
u sustini trebas sigurno programirat, vjerovatno ti je nasao negdje sql injection ili command/code injection, uploadao taj code , i to je to … sta su radili ? pogledaj log fajlove od apache server-a … osim toga , na taj folder gdje drzis slike stavi normalne permissions a ne 777 da svako moze pisat po njemu.
dalja pitanja su , dali koristis cpanel ? neki od open source forum-a il galerija za slike… dali si patchovo taj sav software koji koristis (admin koji odrzava server ne treba to za tebe patch-ovat , jer je to sastavni dio tvoje stranice i ti bi to moro radit).
[quote=maher_]heheheh
taj prvi c99 ti je php shell, treci back.pl ti je connect back backdoor…
u sustini trebas sigurno programirat, vjerovatno ti je nasao negdje sql injection ili command/code injection, uploadao taj code , i to je to … sta su radili ? pogledaj log fajlove od apache server-a … osim toga , na taj folder gdje drzis slike stavi normalne permissions a ne 777 da svako moze pisat po njemu.
dalja pitanja su , dali koristis cpanel ? neki od open source forum-a il galerija za slike… dali si patchovo taj sav software koji koristis (admin koji odrzava server ne treba to za tebe patch-ovat , jer je to sastavni dio tvoje stranice i ti bi to moro radit).[/quote]
da. “rupa” je bila permission 0777.
koristim chmod() da promijenim permission sa 755 na 777. onda uploadujem file i onda sa drugom chmod() vratim na 755. ali sam iz ko zna kojeg razloga “sakrio” (comment) ove dvije linije (?!?!?!?!?!).
da, koristim cpanel. u stvari, koristim WHM/cPanel. Ali ako sam dobro skont’o ovaj “Managing VPS” plan, oni rade sve - osim moga koda?
sto ne znaci da je sigurno :)[/quote]
da, svakako. JA sam i napravio “rupu” sa svojim kodom
mene sada interesuje sta dalje. da li po onoj teriji “oslobadjanja od virusa”: reformatiraj HD, da i ja trazim od ovih da me prebace na nov VPS (ima li smisla uopste?!?) ili nesto drugo?
maloprije sam dobio odovor od admina da su “testirali”
[quote]We have installed ClamAV in your server to scan your files/directories for any infected files.
We have scanned the root directory for the domain and could not find any infected files.
----------- SCAN SUMMARY -----------
Known viruses: 25253
Scanned directories: 6346
Scanned files: 57949
Infected files: 0
Data scanned: 4893.66 MB
I/O buffer size: 131072 bytes
Time: 926.678 sec (15 m 26 s)[/quote]
ne zam jel’ im mogu vjerovati il ime pokusavaju skinuti sa dnevnog reda?
sto ne znaci da je sigurno :)[/quote]
da, svakako. JA sam i napravio “rupu” sa svojim kodom
mene sada interesuje sta dalje. da li po onoj teriji “oslobadjanja od virusa”: reformatiraj HD, da i ja trazim od ovih da me prebace na nov VPS (ima li smisla uopste?!?) ili nesto drugo?
maloprije sam dobio odovor od admina da su “testirali”
[quote]We have installed ClamAV in your server to scan your files/directories for any infected files.
We have scanned the root directory for the domain and could not find any infected files.
----------- SCAN SUMMARY -----------
Known viruses: 25253
Scanned directories: 6346
Scanned files: 57949
Infected files: 0
Data scanned: 4893.66 MB
I/O buffer size: 131072 bytes
Time: 926.678 sec (15 m 26 s)[/quote]
ne zam jel’ im mogu vjerovati il ime pokusavaju skinuti sa dnevnog reda?[/quote]
dalje je da pogledas dali je ikako doso do root account-a (znaci detaljno da prodjes sav software i update-e i ako si gdje zaboravio updatet uradit onda provjerit dali postoji mogucnost da nekako preko tog bug-a dobije root pristup) … kad iskljucis da nije mogo doc do root account-a (naravno treba provjerit dali ima backdoor-a na toj masini jos) , onda ja nebi diro tu masinu , vec je jednostavno pocistio (znaci moro bi i kompletan code precesljat , da vidis da se negdje nije potkrala koja linija nepoznata). passworde na mysql bazi promjenit , permissione precesljat … najbolje bi bilo da ovdje pastiras detalje o serveru, znaci koji OS, koja verzija cpanel-a (prije neki dan je izasao exploit sa kojim se mogu izvrsavat commande preko cpanel-a ) itd …
Mada mi djeluje kao da je neko tek pripremao server za nešto što želi sa njega ili na njemu uraditi a ti stigao na vrijeme ili…
jesi provjeravao vremena kreiranja fajlova koliko dugo se nalaze tamo, iako se i to lako prepravi.
